Меню Рубрики

Установка sql express на контроллер домена

Вопросы безопасности при установке SQL Server Security Considerations for a SQL Server Installation

ОБЛАСТЬ ПРИМЕНЕНИЯ: SQL Server (только в Windows) База данных SQL Azure Azure Synapse Analytics (хранилище данных SQL) Parallel Data Warehouse APPLIES TO: SQL Server (Windows only) Azure SQL Database Azure Synapse Analytics (SQL DW) Parallel Data Warehouse

Безопасность является важной характеристикой для любого продукта и любого предприятия. Security is important for every product and every business. Следуя простым рекомендациям, можно избежать многих уязвимостей в безопасности. By following simple best practices, you can avoid many security vulnerabilities. В этой статье обсуждаются некоторые рекомендации по безопасности, которых следует придерживаться как до установки SQL Server SQL Server , так и после установки SQL Server SQL Server . This article discusses some security best practices that you should cons >SQL Server SQL Server and after you install SQL Server SQL Server . Сведения о безопасности для конкретных компонентов приводятся в справочных статьях по этим компонентам. Security guidance for specific features is included in the reference articles for those features.

Перед установкой SQL Server SQL Server Before Installing SQL Server SQL Server

При настройке среды сервера выполняйте следующие рекомендации. Follow these best practices when you set up the server environment:

Enhance Physical Security Enhance Physical Security

Физическая и логическая изоляции составляют основу безопасности SQL Server SQL Server . Physical and logical isolation make up the foundation of SQL Server SQL Server security. Для повышения физической безопасности установки SQL Server SQL Server выполните следующие действия. To enhance the physical security of the SQL Server SQL Server installation, do the following tasks:

Установите сервер в помещении, недоступном для посторонних. Place the server in a room accessible only to authorized persons.

Установите компьютеры, на которых размещены базы данных, в физически защищенных местах, идеальным вариантом является запертая компьютерная комната с системой электромагнитного и противопожарного контроля или системой подавления помех. Place computers that host a database in a physically protected location, ideally a locked computer room with monitored flood detection and fire detection or suppression systems.

Установите базы данных в безопасной зоне корпоративной сети и не подключайте экземпляры SQL Server к Интернету напрямую. Install databases in the secure zone of the corporate intranet and do not connect your SQL Servers directly to the Internet.

Регулярно создавайте резервные копии данных и храните их в безопасном месте за пределами расположения компьютера. Back up all data regularly and secure the backups in an off-site location.

Use Firewalls Use Firewalls

Брандмауэры играют важную роль в обеспечении безопасности установки SQL Server SQL Server . Firewalls are important to help secure the SQL Server SQL Server installation. Брандмауэры будут более эффективны, если следовать приведенным ниже правилам. Firewalls will be most effective if you follow these guidelines:

Установите брандмауэр между сервером и Интернетом. Put a firewall between the server and the Internet. Разрешите работу брандмауэра. Enable your firewall. Если он отключен, включите его. If your firewall is turned off, turn it on. Если он включен, не отключайте. If your firewall is turned on, do not turn it off.

Разделите сеть на зоны безопасности, разделенные брандмауэрами. Divide the network into security zones separated by firewalls. Заблокируйте весь поток данных, после чего разрешите только необходимый. Block all traffic, and then selectively admit only what is required.

В многоуровневой архитектуре используйте несколько брандмауэров для создания изолированных подсетей. In a multi-tier environment, use multiple firewalls to create screened subnets.

При установке сервера внутри домена Windows настройте внутренние брандмауэры на разрешение проверки подлинности Windows. When you are installing the server inside a Windows domain, configure interior firewalls to allow Windows Authentication.

Если приложение работает с распределенными транзакциями, настройте брандмауэр на обмен данными между отдельными экземплярами координатора распределенных транзакций Microsoft Microsoft (MS DTC). If your application uses distributed transactions, you might have to configure the firewall to allow Microsoft Microsoft Distributed Transaction Coordinator (MS DTC) traffic to flow between separate MS DTC instances. Кроме того, нужно настроить брандмауэр на разрешение обмена данными между MS DTC и диспетчерами ресурсов (например, SQL Server SQL Server ). You will also have to configure the firewall to allow traffic to flow between the MS DTC and resource managers such as SQL Server SQL Server .

Дополнительные сведения о настройках брандмауэра Windows по умолчанию и описание портов TCP, влияющих на компоненты Компонент Database Engine Database Engine , Службы Analysis Services Analysis Services , Службы Reporting Services Reporting Services и Службы Integration Services Integration Services , см. в разделе Настройка брандмауэра Windows для разрешения доступа к SQL Server. For more information about the default Windows firewall settings, and a description of the TCP ports that affect the Компонент Database Engine Database Engine , Службы Analysis Services Analysis Services , Службы Reporting Services Reporting Services , and Службы Integration Services Integration Services , see Configure the Windows Firewall to Allow SQL Server Access.

Isolate Services Isolate Services

Изолирование служб уменьшает риск того, что подвергнувшаяся опасности служба подвергнет опасности другие службы. Isolating services reduces the risk that one compromised service could be used to compromise others. Чтобы изолировать службы, следуйте приведенным ниже правилам. To isolate services, consider the following guidelines:

  • Запускайте разные службы SQL Server SQL Server под разными учетными записями Windows. Run separate SQL Server SQL Server services under separate Windows accounts. Если возможно, пользуйтесь для каждой из служб SQL Server SQL Server отдельными учетными записями Windows или локальных пользователей, обладающих наименьшими правами. Whenever possible, use separate, low-rights Windows or Local user accounts for each SQL Server SQL Server service. Дополнительные сведения см. в статье Настройка учетных записей службы Windows и разрешений. For more information, see Configure Windows Service Accounts and Permissions.
Читайте также:  Установка и подключение усилителя шевроле круз

Configure a Secure File System Configure a Secure File System

Правильный выбор файловой системы повышает уровень безопасности. Using the correct file system increases security. Для установки SQL Server SQL Server необходимо выполнить следующие действия. For SQL Server SQL Server installations, you should do the following tasks:

Используйте файловую систему NTFS. Use the NTFS file system (NTFS). Рекомендуется устанавливать SQL Server SQL Server на файловую систему NTFS, так как она обеспечивает более высокую стабильность и восстанавливаемость, чем файловые системы FAT. NTFS is the preferred file system for installations of SQL Server SQL Server because it is more stable and recoverable than FAT file systems. Кроме того, NTFS реализует параметры управления доступом к файлам и каталогам (ACL), шифрование файловой системы (EFS) и другие средства обеспечения безопасности. NTFS also enables security options like file and directory access control lists (ACLs) and Encrypting File System (EFS) file encryption. Во время установки SQL Server SQL Server установит необходимые списки ACL на разделы реестра и файлы, если программа установки обнаружит NTFS. During installation, SQL Server SQL Server will set appropriate ACLs on registry keys and files if it detects NTFS. Эти разрешения не должны меняться. These permissions should not be changed. В будущих выпусках SQL Server SQL Server может не поддерживаться установка на компьютеры с файловой системой FAT. Future releases of SQL Server SQL Server might not support installation on computers with FAT file systems.

При использовании EFS файлы базы данных будут зашифрованы идентификатором учетной записи, под которой запущен SQL Server SQL Server . If you use EFS, database files will be encrypted under the >SQL Server SQL Server . Только эта учетная запись сможет расшифровать файлы. Only this account will be able to decrypt the files. Если нужно изменить учетную запись, от имени которой запускается SQL Server SQL Server , сначала необходимо расшифровать файлы с использованием старой учетной записи, а затем снова зашифровать их под новой учетной записью. If you must change the account that runs SQL Server SQL Server , you should first decrypt the files under the old account and then re-encrypt them under the new account.

Используйте дисковый массив (RAID) для наиболее критичных файлов данных. Use a redundant array of independent disks (RAID) for critical data files.

Disable NetBIOS and Server Message Block Disable NetBIOS and Server Message Block

На внешних серверах сети должны быть отключены все ненужные протоколы, включая NetBIOS и SMB. Servers in the perimeter network should have all unnecessary protocols disabled, including NetBIOS and server message block (SMB).

NetBIOS использует следующие порты: NetBIOS uses the following ports:

UDP/137 (служба имен NetBIOS); UDP/137 (NetBIOS name service)

UDP/138 (служба дейтаграмм NetBIOS); UDP/138 (NetBIOS datagram service)

UDP/139 (служба сеанса NetBIOS). TCP/139 (NetBIOS session service)

SMB использует следующие порты: SMB uses the following ports:

Веб-серверы и DNS-серверы не требуют наличия NetBIOS или SMB. Web servers and Domain Name System (DNS) servers do not require NetBIOS or SMB. Отключите на них оба протокола, чтобы снизить угрозу раскрытия списка пользователей. On these servers, disable both protocols to reduce the threat of user enumeration.

Установка SQL Server SQL Server на контроллере домена Installing SQL Server SQL Server on a domain controller

Исходя из соображений безопасности, не рекомендуется устанавливать SQL Server SQL Server на контроллере домена. For security reasons, we recommend that you do not install SQL Server SQL Server on a domain controller. SQL Server SQL Server не заблокирует установку на компьютере, который является контроллером домена, однако при этом будут применены следующие ограничения. Setup will not block installation on a computer that is a domain controller, but the following limitations apply:

Запуск служб SQL Server SQL Server на контроллере домена в учетной записи локальной службы невозможен. You cannot run SQL Server SQL Server services on a domain controller under a local service account.

После установки SQL Server SQL Server компьютер, который является членом домена, нельзя будет сделать контроллером домена. After SQL Server SQL Server is installed on a computer, you cannot change the computer from a domain member to a domain controller. Перед этим придется удалить SQL Server SQL Server . You must uninstall SQL Server SQL Server before you change the host computer to a domain controller.

После установки SQL Server SQL Server компьютер, который является контроллером домена, нельзя будет сделать членом домена. After SQL Server SQL Server is installed on a computer, you cannot change the computer from a domain controller to a domain member. Перед этим придется удалить SQL Server SQL Server . You must uninstall SQL Server SQL Server before you change the host computer to a domain member.

SQL Server SQL Server не поддерживает экземпляры отказоустойчивого кластера, где узлы кластера являются контроллерами домена. failover cluster instances are not supported where cluster nodes are domain controllers.

Программа установки SQL Server SQL Server не может создавать группы безопасности или подготавливать учетные записи служб SQL Server SQL Server на контроллере домена, доступном только для чтения. SQL Server SQL Server Setup cannot create security groups or provision SQL Server SQL Server service accounts on a read-only domain controller. В такой ситуации программа установки завершается ошибкой. In this scenario, Setup will fail.

Во время или после установки SQL Server SQL Server During or After Installation of SQL Server SQL Server

После установки вы можете повысить безопасность установки SQL Server SQL Server , следуя приведенным ниже рекомендациям относительно учетных записей и режимов проверки подлинности. After installation, you can enhance the security of the SQL Server SQL Server installation by following these best practices regarding accounts and authentication modes:

Читайте также:  Установка промежуточного вала привода

Учетные записи службы Service accounts

Запускайте службы SQL Server SQL Server с минимально возможными разрешениями. Run SQL Server SQL Server services by using the lowest possible permissions.

Связывайте службы SQL Server SQL Server с учетными записями локальных пользователей Windows, имеющих наименьшие права доступа, или учетными записями пользователей домена. Associate SQL Server SQL Server services with low privileged Windows local user accounts, or domain user accounts.

Режим проверки подлинности Authentication mode

Требует проверку подлинности Windows для подключений к SQL Server SQL Server . Require Windows Authentication for connections to SQL Server SQL Server .

Используйте проверку подлинности Kerberos. Use Kerberos authentication. Дополнительные сведения см. в разделе Регистрация имени участника-службы для соединений Kerberos. For more information, see Register a Service Principal Name for Kerberos Connections.

Надежные пароли Strong passwords

Всегда назначайте надежный пароль для учетной записи sa . Always assign a strong password to the sa account.

Всегда включайте проверку политики паролей для определения надежности и срока действия пароля. Always enable password policy checking for password strength and expiration.

Для всех имен входа SQL Server SQL Server используйте только надежные пароли. Always use strong passwords for all SQL Server SQL Server logins.

Во время установки SQL Server Express SQL Server Express для группы BUILTIN\Users добавляется имя входа. During setup of SQL Server Express SQL Server Express a login is added for the BUILTIN\Users group. Благодаря этому все прошедшие проверку подлинности пользователи компьютера получают доступ к экземпляру SQL Server Express SQL Server Express как члены роли public. This allows all authenticated users of the computer to access the instance of SQL Server Express SQL Server Express as a member of the public role. Имя входа группы BUILTIN\Users можно удалить, чтобы ограничить доступ к компоненту Компонент Database Engine Database Engine только пользователям компьютера, у которых есть отдельные имена входа, или членам других групп Windows с именами входа. The BUILTIN\Users login can be safely removed to restrict Компонент Database Engine Database Engine access to computer users who have individual logins or are members of other Windows groups with logins.

источник

Установка MS SQL Server 2008 Express и Management Studio Express

Сегодня будем рассматривать установку Express версии 2008 SQL сервера, а также среду разработки и администрирования Management Studio Express. Данные продукты бесплатны и отлично подойдут для начинающих программистов и администраторов.

Многие начинающие программисты и администраторы хотят попрактиковаться в программировании и администрировании баз данных, но не знают как, ведь полноценные СУБД платные, поэтому компания Microsoft специально выпускает Express версии своих продуктов, такие как SQL Server Express, Management Studio Express, Visual Studio Express они все бесплатные, так как являются облегченными версиями. Но для обучения и практики они отлично подходят, и если Вы освоите эти продукты, то Вы с легкостью перейдете на полноценные версии. У данного ПО конечно есть разные версии мы сегодня будем рассматривать установку 2008 версии SQL сервера Express и соответственно Management Studio Express 2008.

Что такое MS SQL Server 2008 Express и Management Studio Express

И для начала давайте поговорим, что вообще это за программное обеспечение.

MS SQL Server 2008 Express – это облегченная бесплатная версия СУБД MS SQL 2008, которая идеально подходит для обучения и разработки своих первых приложений. На момент написания статьи данное ПО доступно на официальном сайте и скачать его можно здесь — http://www.microsoft.com/ru-ru/download/details.aspx? >

MS SQL Server 2008 Management Studio Express – это бесплатная среда для разработки, администрирования, управления базами данных SQL сервера. Она доступна также на официальном сайте — http://www.microsoft.com/ru-ru/download/details.aspx? >

Примечание! Я буду устанавливать данные продукты на операционную систему Windows Server 2008 r2, так как под рукой у меня тестовый сервер с установленной именно этой версии ОС, соответственно версии будут скачены под 64-разрядную архитектуру процессора, мои файлы называются следующем образом: SQLEXPR_x64_RUS и SQLManagementStudio_x64_RUS, но Вы не переживайте процесс установки абсолютно идентичен. Вы, соответственно, скачиваете дистрибутивы под свои ОС, например, для 32-разрядной архитектуры файлы будут называться: SQLEXPR_x86_RUS и SQLManagementStudio_x86_RUS. Это если Вы, например, хотите установить себе на домашний компьютер. Данные продукты можно установить на такие операционные системы как: Windows XP Service Pack 2, Windows XP Service Pack 3, Windows Vista, Windows 7 и конечно на все серверные операционные системы от компании Microsoft начинаю с 2003 версии. Но более подробней о требованиях и сведениях можете найти на официальной странице загрузке, советую почитать.

Установка SQL Server 2008 Express

После того как Вы скачали эти инсталляционные пакеты, переходим к установке и начнем мы конечно с SQL сервера.

Для этого запускаем исполняемый файл, в моем случае SQLEXPR_x64_RUS. Сначала произойдет распаковка файлов и потом запустится окно «Центр установки SQL Server» где, кстати, много полезной информации, можете полазить, но для установки нам необходимо перейти на пункт «Установка» и выбрать «Новая установка изолированного SQL Server или добавление компонентов к существующему экземпляру»

Затем программа установки проверит Вашу систему на возможные проблемы и выдаст результаты, которые можно посмотреть путем нажатия кнопки «Показать подробности», а после жмем «ОК».

После этого программа установки попросит Вас установить «Файлы поддержки программы установки», мы жмем «Установить».

Кстати говоря, на протяжении всей установки будет появляться окно.

Вы не пугайтесь, это нормально, ведь установка SQL сервера — это не простое дело для компьютера.

Далее появится окно «Правила поддержки установки» и программа выдаст ошибки, которые необходимо устранить перед установкой, и предупреждения, их устранять необязательно, но по возможности можно.

Например, у меня два предупреждения, первое связано с тем, что у меня этот сервер является контроллером домена, а как Вы, наверное, знаете, что в идеале контроллер домена должен выполнять функции только контроллера домена и никаких больше, но так как у меня это тестовый сервер, я просто не обращаю внимание на это предупреждение, но Вам советую на контроллер больше ничего не устанавливать. Второе предупреждение связанно с тем, что мой сервер не подключен к сети Интернет т.е. не имеет выхода в Интернет, для подробностей можете нажать на ссылку «Внимание!», где будет подробное описание ошибки или предупреждения.

Читайте также:  Установка зажигания на мопеде ямасаки

Где нам предложат ввести ключ продукта, но так как у нас версия Express нам вводить ничего не нужно, поэтому сразу жмем «Далее».

И на этом окне нас попросят ознакомиться с условиями лицензии и соответственно согласиться с ними, мы читаем, соглашаемся и жмем «Далее». Советую всем читать условия лицензии всех продуктов от компании Microsoft, так как можно чего интересного вычитать, так как я прекрасно знаю, что эти условия никто никогда не читает, а зря.

После того как Вы нажали далее, у Вас откроется окно выбора компонентов, слева в окошке будет описание этих компонентов, нам необходим только «Службы компонента DataBase Engine», но что мелочится, давайте установим сразу всё, поэтому ставим все галочки и жмем «Далее», да, кстати, здесь можно выбрать альтернативный путь установки всех компонентов, но это так к слову, вдруг кому понадобиться, а я оставляю все по умолчанию.

Затем нам будет предложено изменить название экземпляра, я оставляю как есть, а Вы, если конечно Вам нужно, можете его переименовать, жмем «Далее».

Затем программа установки проанализирует свободное место на диске, на который будет происходить установка всех компонентов SQL сервера, у меня все нормально, поэтому я сразу жму «Далее».

Далее нам нужно будет немного настроить наш SQL сервер, а конкретней, с какими учетными данными будут запускаться наши службы, мы, соответственно, вводим, и жмем «Далее».

Затем продолжаем конфигурировать SQL сервер, и на этом этапе нам необходимо задать настройки аутентификации, а точнее режим проверки подлинности и задать учетные данные администратора SQL сервера. Я выбрал «Режим проверки подлинности Windows» т.е. в этом случае к SQL серверу смогут подключаться только те пользователи, которые заведены на этом компьютере или, если сервер входит в домен, все доменные пользователи, при этом заводить пользователей на самом SQL сервере не нужно. А для назначения администратора я нажал «Добавить текущего пользователя» т.е. свои учетные данные, под которыми я устанавливаю сервер (можно назначить несколько администраторов). Жмем «Далее».

На следующем окне можно выбрать настройки отправки отчетов об ошибках, я не хочу отправлять отчеты, поэтому и не ставлю соответствующие галочки, жму «Далее».

Затем программа проинформирует нас о правилах, которые будут соблюдены или не соблюдены в процессе установки, я жму «Далее».

И вот, наконец, все готово к установке, и программа выдаст сводку всех параметров установки, Вы все проверяете и жмите «Установить».

И вот началась установка, она займет примерно минут 5 и в заключении выдаст окно, в котором будет указанно, успешно ли выполнилась инсталляция компонентов SQL сервера, у меня все хорошо жму «Далее».

Вот и все, установка завершена, на следующем окне просто жмем закрыть.

Также можно закрыть окно «Центр установки SQL Server». Сервер, кстати, сразу запустился, принудительно его не нужно запускать, а на будущее, его можно запустить, остановить или перезапустить с помощью оснастки «Диспетчер конфигурации SQL Server», который Вы можете найти в:

Пуск->Все программы->Microsoft SQL Server 2008->Средства настройки-> Диспетчер конфигурации SQL Server

Также здесь Вы можете найти такую интересную и полезную вещь как Импорт и экспорт данных, но об этом подробно мы разговаривали в материале Средство импорта и экспорта данных в MSSql 2008.

Установка Management Studio Express

Теперь приступим к установке Management Studio, для этого запускаем инсталляционный пакет. И как не странно у нас снова откроется «Центр установки SQL Server». Мы также жмем «Установка» и выбираем «Новая установка изолированного SQL Server или добавление компонентов к существующему экземпляру», в общем, все то же самое. Будет окно проверки правил установки, на нем жмем «ОК». Затем также как и при установке SQL сервера программа установит «Файлы поддержки программы установки». Делаем все в точности, как и при установке SQL сервера, доходим до окна выбора компонентов, и выбираем «Средства управления», в принципе Вы не ошибетесь, так как выбрать другие компоненты просто нельзя, жмем «Далее».

Затем снова все те же окна, проверки свободного места на диске, отправка отчетов, проверки правил установки и непосредственна сама установка, в заключении о том, что установка компонента прошла успешно появится окно.

Жмем «Далее» затем «Закрыть». И все, можно запускать Management Studio Express

Пуск->Все программы->Microsoft SQL Server 2008->Среда SQL Server Management Studio

После запуска необходимо будет настроить соединение с SQL сервером в окне «Соединение», где в поле «Имя сервера» указываем имя компьютера, затем имя нашего SQL сервера (мы его задавали в процессе установки, sqlexpress), в итоге у меня получилось dc1\sqlexpress, выбираем установленную Проверку подлинности и жмем «Соединить».

И если Вы все сделали правильно, у Вас откроется Management Studio и в частности обозреватель объектов, где собственно Вы и можете создавать базы данных, об этом мы разговаривали в материале Как создать базу данных в MSSql 2008 и писать запросы, ну, в общем, учиться программировать на Transact-SQL.

На этом наша статья подошла к своему логическому завершению. Удачи в освоении SQL сервера!

источник